《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > SolarWinds供應(yīng)鏈攻擊事件對(duì)工業(yè)OT/ICS網(wǎng)絡(luò)攻擊預(yù)防的啟示

SolarWinds供應(yīng)鏈攻擊事件對(duì)工業(yè)OT/ICS網(wǎng)絡(luò)攻擊預(yù)防的啟示

2021-02-23
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心

  【編者按】2020年12月曝光的SolarWinds供應(yīng)鏈攻擊事件成了網(wǎng)絡(luò)安全行業(yè)的頭號(hào)新聞,這一事件某種程度上將改變IT、OT和ICS網(wǎng)絡(luò)安全團(tuán)隊(duì)的認(rèn)知和實(shí)踐。新冠疫情全球流行及原油市場崩潰在2020年造成了相當(dāng)大的干擾,并改變了IT和網(wǎng)絡(luò)安全團(tuán)隊(duì)的短期工作重點(diǎn)。但是,在進(jìn)入新年之際,網(wǎng)絡(luò)安全團(tuán)隊(duì)的關(guān)注重點(diǎn)將重新回到基礎(chǔ)的網(wǎng)絡(luò)安全問題上,并且自2021年開始將關(guān)注針對(duì)OT/ICS的網(wǎng)絡(luò)攻擊防御。

  一、SolarWinds供應(yīng)鏈攻擊事件回顧

  FireEye于2020年12月初公開披露了一個(gè)大型、復(fù)雜的網(wǎng)絡(luò)供應(yīng)鏈攻擊,SolarWinds產(chǎn)品于2020年3月左右被攻擊者植入后門,受到了嚴(yán)重的供應(yīng)鏈攻擊。

  據(jù)官方報(bào)告描述,SolarWinds軟件在2020年3-6月期間發(fā)布的版本均受到供應(yīng)鏈攻擊的影響,攻擊者在這段期間發(fā)布的2019.4-2020.2.1版本中植入了惡意的后門應(yīng)用程序。這些程序利用SolarWinds的數(shù)字證書繞過驗(yàn)證,并在休眠2周左右后會(huì)和第三方進(jìn)行通信,并且根據(jù)返回的指令執(zhí)行操作,包括傳輸文件、執(zhí)行文件、重啟系統(tǒng)等。這些通信會(huì)偽裝成Orion Improvement Program(OIP)協(xié)議并將結(jié)果隱藏在眾多合法的插件配置文件中,從而達(dá)成隱藏自身的目的。

  官方證實(shí),大約有18,000個(gè)用戶已經(jīng)安裝了SolarWinds的后門版本。這次攻擊的范圍不僅限于政府和網(wǎng)絡(luò)公司,還包括財(cái)富500強(qiáng)企業(yè)、重要的國家安全和重要的基礎(chǔ)設(shè)施提供商等。

  研究人員發(fā)現(xiàn),在SolarWinds供應(yīng)鏈攻擊中使用的惡意軟件有四款,分別為Sunspot、Sunburst和Teardrop和Raindrop。攻擊者首先部署了Sunspot惡意軟件,專門在SolarWinds公司的網(wǎng)絡(luò)中使用了該惡意軟件。攻擊者使用該惡意軟件修改了SolarWinds Orion應(yīng)用程序的構(gòu)建過程,并將Sunburst(Solorigate)惡意軟件插入了新版本的IT網(wǎng)絡(luò)管理系統(tǒng)Orion中。

  這些木馬化的Orion版本未被發(fā)現(xiàn),并在2020年3月至2020年6月期間活躍在官方的SolarWinds更新服務(wù)器上。應(yīng)用Orion更新的公司還不經(jīng)意間在其系統(tǒng)上安裝了Sunburst惡意軟件。但是,Sunburst惡意軟件并不是特別復(fù)雜,除了收集有關(guān)受感染網(wǎng)絡(luò)的信息并將數(shù)據(jù)發(fā)送到遠(yuǎn)程服務(wù)器之外,并沒有做太多其他事情。當(dāng)黑客決定“升級(jí)訪問權(quán)限”時(shí),他們使用Sunburst下載并安裝了Teardrop惡意軟件,但是在某些情況下黑客會(huì)選擇部署Raindrop惡意軟件。

  遭受SolarWinds黑客入侵的安全公司至少有四家,分別為Microsoft、FireEye和CrowdStrike和Malwarebytes。美國多政府機(jī)構(gòu)聯(lián)合聲稱,該供應(yīng)鏈攻擊事件可能由與俄羅斯政府有關(guān)的APT組織發(fā)起。

  OT網(wǎng)絡(luò)安全團(tuán)隊(duì)必須有所準(zhǔn)備,對(duì)工業(yè)控制系統(tǒng)的復(fù)雜攻擊將成為新常態(tài)。對(duì)于許多OT/ICS公司而言,更令人擔(dān)憂的是,SolarWinds供應(yīng)鏈攻擊也集中于中小型企業(yè)。這些攻擊在數(shù)字和物理領(lǐng)域都敲響了警鐘。當(dāng)前,網(wǎng)絡(luò)安全負(fù)責(zé)人必須立即采取行動(dòng),并在OT/ICS環(huán)境中實(shí)施網(wǎng)絡(luò)攻擊預(yù)防。

  二、工業(yè)領(lǐng)域的SolarWinds受害者

  Microsoft、FireEye、CrowdStrike等多家組織已對(duì)這一重大事件進(jìn)行了跟蹤分析,深入的調(diào)查研究仍在進(jìn)行中。嵌入SolarWinds SunBurst后門的技術(shù)細(xì)節(jié)已經(jīng)被公開報(bào)道,第二階段的工具正在被發(fā)現(xiàn),但攻擊的規(guī)模和幕后黑手的興趣仍在調(diào)查中。盡管如此,關(guān)于受到的組織數(shù)量以及第二階段工具可能已部署的信息仍然有限?;趯?duì)歷史C2 DNS響應(yīng)的分析,有一些關(guān)于參與者的猜測。

  卡巴斯基研究人員對(duì)有多少工業(yè)組織使用后門版本的SolarWinds并成為受害者特別關(guān)注,并進(jìn)行了相關(guān)研究。

  首先,研究人員使用了一些公共可用列表和第三方列表來分析從SunBurst域名生成算法生成的DNS名稱獲得的所有可用的已解碼內(nèi)部域名??勺x和可歸屬域名的最終列表由將近2000個(gè)域名組成??赡苁艿綋p害的工業(yè)組織經(jīng)營的行業(yè)的信息如下圖所示,工業(yè)組織占名單上所有組織的總百分比估計(jì)為32.4%。

微信圖片_20210223145533.jpg

  研究人員還分析了安裝了后門版本的SolarWinds應(yīng)用程序的遙測系統(tǒng)的用戶信息,并區(qū)分了工業(yè)領(lǐng)域20多個(gè)組織:

微信截圖_20210223145550.png

  工業(yè)組織的地理分布廣泛,包括貝寧、加拿大、智利、吉布提、印度尼西亞、伊朗、馬來西亞、墨西哥、荷蘭、菲律賓、葡萄牙、俄羅斯、沙特阿拉伯、臺(tái)灣、烏干達(dá),和美國等國家和地區(qū)。從北美到亞太地區(qū),所有受害者的地理位置幾乎覆蓋了整個(gè)世界。

  SolarWinds軟件已高度集成到全球不同行業(yè)的許多系統(tǒng)中。研究人員目前尚無證據(jù)表明遙測中的任何工業(yè)組織都遭到了攻擊者的升級(jí)。

  Truesec根據(jù)從威脅行為者使用的服務(wù)器收到的響應(yīng),提供了一份可能的第二階段受害者名單,其中包括總部位于不同國家的幾個(gè)工業(yè)組織。因此,如果符合參與者的利益,不應(yīng)該排除在某些工業(yè)網(wǎng)絡(luò)中開展更廣泛活動(dòng)的可能性。

  三、常見的OT/ICS網(wǎng)絡(luò)安全謬論

  備受矚目的SolarWinds供應(yīng)鏈攻擊事件以及隨之而來的在2021年實(shí)施OT網(wǎng)絡(luò)攻擊預(yù)防措施的緊迫感,足以澄清之前關(guān)于OT/ICS網(wǎng)絡(luò)安全的謬論。

  我們沒有受到攻擊,因此網(wǎng)絡(luò)安全并不是我們的迫切需求。該供應(yīng)鏈攻擊事件表明,攻擊者在破壞關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)、隱藏其偵察工作以及長時(shí)間隱藏網(wǎng)絡(luò)訪問方面的復(fù)雜程度。網(wǎng)絡(luò)入侵或破壞并不總是會(huì)導(dǎo)致立即可見的網(wǎng)絡(luò)攻擊。

  我們太小了,沒人愿意攻擊我們。在當(dāng)前幾乎無限制的網(wǎng)絡(luò)戰(zhàn)環(huán)境中,每個(gè)組織都在遭受攻擊,無論他們是否愿意承認(rèn)。在SolarWinds Orion黑客攻擊中,該公司已通知33,000位客戶,多達(dá)18,000位用戶下載了包含后門的軟件更新,從而使攻擊者可以訪問網(wǎng)絡(luò),顯然,其中包括大型、中型和小型企業(yè)組織。

  網(wǎng)絡(luò)攻擊的目標(biāo)是每個(gè)組織。各種規(guī)模的組織,尤其是關(guān)鍵基礎(chǔ)設(shè)施和流程行業(yè)的組織,都必須避免成為這些攻擊者的攻擊目標(biāo)。

  我們有氣隙隔離,因此網(wǎng)絡(luò)安全對(duì)我們來說并不擔(dān)心。在與OT和ICS運(yùn)營人員的對(duì)話中,氣隙隔離仍然被頻繁的提出。SolarWinds黑客事件導(dǎo)致政府、國防、企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施組織遭受后門惡意軟件的攻擊。事實(shí)證明,如今幾乎沒有組織存在真正的氣隙隔離。此外,Mission Secure多年來為世界各地運(yùn)營關(guān)鍵資產(chǎn)(如無人機(jī)、油輪、海上平臺(tái)、煉油廠、發(fā)電廠、水處理設(shè)施、交通管理系統(tǒng)等)的客戶進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的多年經(jīng)驗(yàn)表明,沒有一個(gè)真正的氣隙隔離。

  四、緩解建議

  2021年開始是時(shí)候關(guān)注OT/ICS環(huán)境中的網(wǎng)絡(luò)攻擊預(yù)防了。一旦進(jìn)入缺乏細(xì)粒度或零信任訪問控制和微隔離的網(wǎng)絡(luò)的外圍防火墻,單點(diǎn)安全解決方案就不足以保護(hù)組織最重要的資產(chǎn)免受當(dāng)今的網(wǎng)絡(luò)對(duì)手和威脅的侵害。

  網(wǎng)絡(luò)安全公司Palo Alto Networks首席執(zhí)行官稱,每個(gè)企業(yè)和聯(lián)邦機(jī)構(gòu)都需要評(píng)估其網(wǎng)絡(luò)安全。以下是針對(duì)SolarWinds可能受害者的建議:

  1、檢查是否安裝了有后門的SolarWinds版本

  對(duì)于所有SolarWinds客戶,美國國土安全部建議其管轄范圍內(nèi)的所有組織和機(jī)構(gòu)“立即從其網(wǎng)絡(luò)中斷開或關(guān)閉2019.4至2020.2.1 HF1版本的SolarWinds Orion產(chǎn)品”。在CISA指示受影響的實(shí)體重建Windows操作系統(tǒng)并重新安裝SolarWinds軟件包之前,禁止代理商將Windows主機(jī)操作系統(tǒng)(重新)加入企業(yè)域。

  此外,由于黑客可能會(huì)針對(duì)類似SolarWinds的OT環(huán)境中收集設(shè)備清單的其他工具,因此建議OT網(wǎng)絡(luò)安全組織與其供應(yīng)商聯(lián)系,要求提供文件,證明這些清單跟蹤機(jī)制已針對(duì)網(wǎng)絡(luò)和暴力攻擊進(jìn)行加固。

  2、實(shí)施基于網(wǎng)絡(luò)的零信任、微隔離

  幾乎所有針對(duì)OT/ICS環(huán)境的重大網(wǎng)絡(luò)攻擊都在整個(gè)攻擊鏈中包含了一定程度的外部指揮控制(C2)和偵察或數(shù)據(jù)收集。為了最大限度地減少和/或完全防止這些攻擊技術(shù),安全人員建議實(shí)施基于網(wǎng)絡(luò)的零信任、微隔離。

  基于網(wǎng)絡(luò)的隔離和保護(hù),可以識(shí)別和阻止外部C2通信以及后續(xù)的網(wǎng)絡(luò)掃描或偵察,可以防止像SolarWinds事件中Sunburst惡意軟件那樣的感染的影響。

  此外,基于網(wǎng)絡(luò)的隔離和保護(hù)可以防止未經(jīng)授權(quán)的OT/ICS協(xié)議通信以及這些技術(shù)存在的大量攻擊選項(xiàng)。由于OT系統(tǒng)具有廣泛的遺留問題,專有和非標(biāo)準(zhǔn)協(xié)議和接口,因此存在各種各樣的惡意和格式錯(cuò)誤的協(xié)議攻擊。

  在OT/ICS網(wǎng)絡(luò)內(nèi)部實(shí)施基于網(wǎng)絡(luò)的隔離和保護(hù)可以消除大量OT威脅,從而有助于阻止OT的網(wǎng)絡(luò)攻擊。

  3、對(duì)關(guān)鍵資產(chǎn)進(jìn)行連續(xù)的信號(hào)完整性監(jiān)控,以防止物理基礎(chǔ)設(shè)施受到網(wǎng)絡(luò)攻擊

  在OT/ICS環(huán)境中,最具破壞性的網(wǎng)絡(luò)攻擊首先是通過引入簡單的惡意軟件(例如SolarWindsSunburst惡意軟件)進(jìn)行的入侵,但隨后被允許繼續(xù)進(jìn)行,直到實(shí)施某種破壞性物理攻擊為止。

  此類物理攻擊的典型示例是十年前的Stuxnet網(wǎng)絡(luò)攻擊,該攻擊專門用于破壞目標(biāo)基礎(chǔ)結(jié)構(gòu)。達(dá)到此階段的網(wǎng)絡(luò)攻擊會(huì)嚴(yán)重威脅生命、安全和環(huán)境。

  正是出于這個(gè)原因,即使面對(duì)成功的OT網(wǎng)絡(luò)入侵,研究人員仍建議對(duì)關(guān)鍵的物理資產(chǎn)進(jìn)行連續(xù)的信號(hào)完整性監(jiān)控,以防止這些災(zāi)難性的后果。絕對(duì)不允許在物理基礎(chǔ)架構(gòu)上進(jìn)行網(wǎng)絡(luò)攻擊,并且持續(xù)進(jìn)行信號(hào)完整性監(jiān)控旨在防止攻擊和這些后果。

  4、如果檢測到安裝了后門版本的SolarWinds或相關(guān)的IOC,啟動(dòng)安全事件調(diào)查并啟動(dòng)事件響應(yīng)程序,同時(shí)考慮所有可能的攻擊向量:

  ● 隔離已知遭到破壞的資產(chǎn),同時(shí)保持系統(tǒng)的可操作性;

  ● 防止刪除可能對(duì)調(diào)查有用的IOC;

  ● 檢查所有網(wǎng)絡(luò)日志中是否有可疑的網(wǎng)絡(luò)活動(dòng);

  ● 檢查系統(tǒng)日志、事件日志和安全日志以進(jìn)行非法的用戶賬戶身份驗(yàn)證;

  ● 找到可疑的進(jìn)程活動(dòng),調(diào)查內(nèi)存轉(zhuǎn)儲(chǔ)和相關(guān)文件;

  ● 檢查與可疑活動(dòng)相關(guān)的歷史命令行數(shù)據(jù)。

  五、結(jié)論

  對(duì)于OT和ICS關(guān)鍵基礎(chǔ)設(shè)施和流程行業(yè)公司而言,2020年是艱難的一年,就像對(duì)我們其他人一樣。而SolarWinds供應(yīng)鏈攻擊事件,是小型企業(yè)和大型企業(yè)都陷入無限網(wǎng)絡(luò)戰(zhàn)爭環(huán)境的最新示例。因此,隨著進(jìn)入新的一年,實(shí)施OT/ICS網(wǎng)絡(luò)攻擊預(yù)防的緊迫感將越來越明顯。



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。